Una vulnerabilidad en WPForms, un complemento de WordPress utilizado en más de 6 millones de sitios web, podría permitir a los usuarios de nivel de suscriptor emitir reembolsos arbitrarios de Stripe o cancelar suscripciones.
Rastreada bajo CVE-2024-11205, la falla se ha clasificado como un problema de alta gravedad debido al requisito previo de autenticación. Sin embargo, dado que los sistemas de membresía están disponibles en la mayoría de los sitios, operarlos puede ser bastante sencillo en la mayoría de los casos.
El problema afecta a WPForms desde la versión 1.8.4 hasta la 1.9.2.1, con una solución incluida en la versión 1.9.2.2, lanzada el mes pasado.
WPForms es un creador de formularios de WordPress de arrastrar y soltar fácil de usar para crear formularios de contacto, comentarios, suscripción y pago, que ofrece soporte para Stripe, PayPal, Square y otros.
El complemento está disponible en versión premium (WPForms Pro) y edición gratuita (WPForms Lite). Este último está activo en más de seis millones de sitios de WordPress.
La vulnerabilidad surge del uso incorrecto de la función «wpforms_is_admin_ajax()» para determinar si una solicitud es una llamada AJAX del administrador.
Aunque esta función verifica si la solicitud proviene de una ruta de administrador, no aplica controles de capacidad para restringir el acceso según la función o los permisos del usuario.
Esto permite que cualquier usuario autenticado, incluso suscriptores, invoque funciones AJAX sensibles como «ajax_single_paid_refund()», que ejecuta reembolsos de Stripe, y «ajax_single_paid_cancel()», que cancela suscripciones.
Las consecuencias de CVE-2024-11205 La explotación podría ser grave para los propietarios de sitios web, provocando pérdida de ingresos, interrupción del negocio y problemas de confianza del cliente.
Solución disponible
La falla fue descubierta por el investigador de seguridad «vullu164», quien lo informó a Cierre de palabradel programa de recompensas por errores por un pago de $2376 el 8 de noviembre de 2024.
Luego, Wordfence validó el informe y confirmó el exploit proporcionado, enviando todos los detalles al proveedor, Awesome Motive, el 14 de noviembre.
El 18 de noviembre, Awesome Motive lanzó la versión parcheada 1.9.2.2, agregando controles de capacidad adecuados y mecanismos de autorización en las funciones AJAX afectadas.
Según wordpress.org estadísticaAproximadamente la mitad de todos los sitios que utilizan WPForms ni siquiera están en la última versión (1.9.x), por lo que la cantidad de sitios web vulnerables es de al menos 3 millones.
Wordfence aún no ha detectado una explotación activa de CVE-2024-11205 en la naturaleza, pero se recomienda actualizar a 1.9.2.2 lo antes posible o desactivar el complemento en su sitio.
